Im Juli 2015 trat das IT-Sicherheitsgesetz in Kraft. Jens Feddern erklärt, welche Auswirkungen dies auf die Wasserbranche hat, wie weit die Umsetzung ist und wo Erfahrungen ausgetauscht werden können.
Springer Professional: Welche Auflagen bestimmt das Gesetz für den Wassersektor?
Jens Feddern: Die Frage ist komplexer als man vermuten könnte. Unter dem Begriff IT-Sicherheitsgesetz wird das Bündel mehrerer Gesetzesänderungen zum Thema IT-Sicherheit verstanden. Beispielsweise werden im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) für das Gemeinwesen überragend bedeutsame Sektoren definiert. Im Sektor Wasser ist die Entsorgung als ebenfalls bedeutsame Einrichtung enthalten. Darüber hinaus ist das BSI-Gesetz nur für Betreiber sogenannter „kritischer Infrastrukturen“ verpflichtend. Fest steht: Für die Betreiber kritischer Infrastrukturen besteht die Pflicht zur Einhaltung von IT-Mindestsicherheitsstandards. Der Gesetzgeber hat den Branchen dabei die Möglichkeit gegeben, diese Standards branchenspezifisch zu definieren. Die Einhaltung dieser Standards und damit die Entsprechung nach „Stand der Technik“ muss von Betreibern kritischer Infrastrukturen alle zwei Jahre auf geeignetem Wege durch z.B. Audits nachgewiesen werden. Weiterhin fordert das BISG, dass IT-Sicherheitsvorfälle an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Darüber hinaus ist eine für das BSI ständig erreichbare Kontaktstelle einzurichten.
Wie beurteilen sie den gegenwärtigen Stand der Umsetzung?
Die neue Rechtsverordnung soll im ersten Quartal 2016 in Kraft treten. Vorschläge zur Definition von kritischen Prozessschritten und Anlagentypen in den Bereichen Wasser und Abwasser liegen mit dazugehörigen Schwellwerten vor. Mit dem Umsetzungsplan Kritis (UP Kritis) wurde eine öffentlich-private Partnerschaft zur Umsetzung des IT-Sicherheitsgesetzes geschaffen. In den Branchenarbeitskreisen von UP-Kritis haben Verbände und einzelne Unternehmen die Möglichkeiten sich einzubringen. Eines der Themen im Branchenarbeitskreis Wasser/Abwasser ist es, Vorschläge zur Definition von kritischen Infrastrukturen im Bereich Wasser und Abwasser zu erarbeiten. Diese Vorschläge dienen als Empfehlung zur Definition der Adressaten des BSIG in der Rechtsverordnung. Die Struktur zur Definition der Branchenstandards ist entworfen und wird plangemäß mit einem detaillierten Sicherheitskatalog ausgestattet. Auch wenn Gründlichkeit hier das Maß der Dinge ist, liegt alles bisher im Plan.
Ihr Arbeitskreis entwickelt jetzt Branchenstandards für die IT-Sicherheit. Welche Aspekte spielen dabei eine Rolle?
Die Vorschläge zu den IT-Sicherheitsstandards werden sich an den Schutzzielen des BSI-Gesetzes orientieren. Diese bestehen in der Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme und den davon abhängigen Prozessen.
Wie ist der zeitliche Rahmen zur Realisierung dieser Standards festgelegt?
Die Übergangsfrist zur Umsetzung der Standards beträgt zwei Jahre nach Inkrafttreten der Rechtsverordnung. Die ständig erreichbare Kontaktstelle muss schon sechs Monate nach der Rechtsverordnung installiert sein. Störfälle müssen sofort nach der Rechtsverordnung gemeldet werden.
Welche Meldesysteme sind bei Störungen vorgesehen?
IT-Sicherheitsvorfälle müssen unverzüglich gemeldet werden – über die Kontaktstelle an das Bundesamt. Wenn dieser Vorfall nicht zu einem Ausfall oder einer Beeinträchtigung der betriebenen kritischen Infrastruktur geführt hat, kann die Meldung ohne Angabe des Betreibers erfolgen.
Wo können sich die betroffenen Betriebe informieren und welche Mitwirkungsmöglichkeiten bestehen?
Diese Frage spricht einen Kernpunkt des BSI-Gesetzes an: die Kommunikation zum BSI, welches künftig als zentrale Melde- und Aufsichtsstelle fungieren wird. Die aus den erwähnten Meldungen zu IT-Störfällen gewonnenen Erkenntnisse und Informationen aus anderen Quellen werden vom BSI den Betreibern kritischer Infrastrukturen zur Verfügung gestellt. Im BSI-Gesetz ist die Möglichkeit einer direkten Beratung und Unterstützung durch das Bundesamt in einer „Kann-Bestimmung“ verankert. Die bereits erwähnte öffentlich-private Partnerschaft UP-Kritis organisiert die Schnittstelle zwischen den Betreibern kritischer Infrastrukturen, Verbänden und staatlichen Stellen zum Gesetzgeber und stellt diverse Informationen zur Verfügung. Alle Wasserver- und Entsorger können sich kostenlos in der Allianz für Cybersicherheit registrieren und bekommen neben dem Lagebild gezielte Hintergrundinformationen, Lösungshinweise und eine Plattform zum Erfahrungsaustausch. Bisher sind in der Allianz über 1.500 Mitglieder registriert.